Plataformas operadoras de criptomoedas são responsáveis, independentemente de culpa, por fraudes ocorridas nas transações dos clientes
Um usuário de uma plataforma que custodiava seus bitcoins foi transferir uma parte dos valores de sua conta para uma outra corretora e uma falha do sistema implicou o desaparecimento de uma parte expressiva dos bitcoins que o usuário possuía, resultando num prejuízo de aproximadamente R$200 mil.
Segundo o usuário, a falha teria ocorrido por conta do mecanismo de dupla autenticação da plataforma que valida a operação via e-mail de confirmação, além do login e senha. No caso em questão tal e-mail não teria sido enviado. Na versão da operadora, a fraude ocorreu por conta de um ataque hacker no computador do próprio usuário.
No primeiro grau, a sentença deu razão ao usuário e condenou a plataforma a devolver o valor, bem como pagar R$10 mil por danos morais. No segundo grau, contudo, o Tribunal de Justiça de Minas Gerais afastou a responsabilidade da plataforma por considerar que a falha decorreu de culpa exclusiva do cliente.
O entendimento da Quarta Turma do Superior Tribunal de Justiça (STJ) foi semelhante ao da primeira instância. A relatora, ministra Isabel Gallotti relembrou que o STJ já sumulou, na Súmula nº 479, o entendimento de que as instituições financeiras respondem objetivamente (independentemente de culpa) por danos decorrentes do fortuito interno relativo a fraudes e delitos praticados por terceiros nas operações bancárias.
Para a relatora, as empresas que custodiam criptoativos de terceiros são instituições financeiras autorizadas e reguladas pelo Banco Central e, por conta disso, devem ser responsabilizadas em casos como este.
A responsabilidade só poderia ser afastada em caso de culpa exclusiva da vítima, nos termos do art. 14, §3º inciso I do Código de Defesa do Consumidor. Nessa esteira, a relatora consignou que a plataforma não foi capaz de provar que o usuário tivesse liberado informações a terceiros que poderiam ter possibilitado o alegado ataque hacker. Ademais, a plataforma não teria comprovado o envio do e-mail de confirmação da operação, bem como a ocorrência de um ataque hacker não eximiria sua responsabilidade, que continuaria aplicável em razão da falta de segurança adequada contra esse tipo de incidente.